Odebrane z Jeffery'ego Stutzmana, CEO Trusted Internet
„Rozszerzone wykrywanie i reagowanie to platforma, która integruje, koreluje i kontekstualizuje dane i alerty z wielu komponentów zapobiegania, wykrywania i reagowania na zagrożenia. XDR To technologia oparta na chmurze, obejmująca wiele rozwiązań punktowych i zaawansowaną analitykę, która koreluje alerty z wielu źródeł z incydentami, a także słabsze sygnały indywidualne, co pozwala na dokładniejsze wykrywanie zagrożeń. Jej celem jest ograniczenie rozrostu produktów, zmęczenia alertami, problemów z integracją i kosztów operacyjnych. Będzie ona szczególnie atrakcyjna dla zespołów ds. bezpieczeństwa, które mają trudności z zarządzaniem najlepszym w swojej klasie portfolio rozwiązań lub czerpaniem korzyści z… SIEM lub rozwiązanie SOAR.” (Gartner)
Gartner mówi też, że do końca 2023 roku co najmniej 30 proc EDR oraz SIEM dostawcy będą twierdzić, że zapewniają XDR, pomimo braku rdzenia XDR funkcjonalność. To jest całkowicie prawdziwe. W rzeczywistości, Crowdstrike, SentinalOne, CyberReason a inni sklasyfikowali swoje rozwiązania punktów końcowych jako XDR.
Gartner dokonał również kilku prognoz.
- Do końca 2027 r. XDR będzie wykorzystywane przez 40% organizacji będących użytkownikami końcowymi w celu ograniczenia liczby dostawców rozwiązań zabezpieczających, w porównaniu z obecnymi poniżej 5%.
- Do końca 2027 r. XDR a SASE będzie wykorzystywane przez nawet 50% organizacji będących użytkownikami końcowymi, co pozwoli ograniczyć liczbę dostawców rozwiązań zabezpieczających, z których korzystają, w porównaniu z obecnym poziomem mniejszym niż 5%.
Uważam, że Gartner się mylił. Nie wierzę, że prognozy Gartnera się spełnią. Dlatego.
- XDR nie można polegać na agencie, a specjaliści ds. bezpieczeństwa o tym wiedzą. Oni to uznają XDR zapewnia ochronę nie tylko systemów z zainstalowanym EDR lub agentem. XDR idzie o wiele dalej.
- Kompletność EDR jako XDR brakuje: Większość MDR-ów monitoruje zapory sieciowe i punkty końcowe, a także przepływ, uwierzytelnianie i może kilka innych. To prawda XDR monitoruje każdy możliwy punkt danych, niezależnie od tego, czy agent jest załadowany.
Gartner uważa, że XDR a SASE ZMNIEJSZY liczbę technologii w organizacji, podczas gdy w rzeczywistości uważam, że skonsoliduje i dokładniej odzwierciedli obraz, niezależnie od technologii lub liczby technologii użytych w celu uzyskania jak najpełniejszego i najdokładniejszego obrazu. XDR Nie zmniejszy liczby sprzedawców, ale wprowadzi możliwość korzystania z usług większej liczby sprzedawców, z których każdy będzie wybierany ze względu na swoją najwyższą jakość. Miną czasy, gdy byliśmy zamknięci w jednym ogrodzie otoczonym murem bezpieczeństwa.
Pięć lat temu (Trusted Internet) wybraliśmy nasz zestaw technologii z listy pięciu najlepszych laboratoriów NSS — zapory ogniowe FortiGate, FortiClient i Sophos w punkcie końcowym, a następnie wybraliśmy inne na podstawie własnych wymagań; Minerva's Armor, Sophos Intercept X i inne, które uzupełniają nasz stos technologii i model dostarczania. Mieliśmy przypisaną nam infrastrukturę, ale nie wszyscy chcieli usunąć swoje nowiutkie zapory Cisco Firepower. A co z innymi, którzy mają Palo Alto? Dla firmy z wieloma technologiami korelacje stają się prawie niemożliwe. Wyobraź sobie naszą pozycję jako MSSPs. Każda firma jest wyjątkowa pod wieloma względami i każda z nich ma swoje własne wymagania dotyczące korelacji. W rezultacie musieliśmy przenieść je do naszego własnego jeziora danych, w którym przeprowadzamy analizę korelacji poziomu 2 i 3 poprzez ręczne polowanie na zagrożenia. Jesteśmy zmuszeni do próby korelacji z nimi wszystkimi (ręcznie).
Dzisiaj oferujemy kilka XDR opcje, Stellar, Sophos, Fortinet i wkrótce potencjalnie druga opcja w OtwarteXDRMożemy teraz korzystać z setek integracji dostawców i punktów danych, aby identyfikować, śledzić i korelować nieprawidłowości. Zamiast godzinami analizować PCAP, każdy z nich pozwala nam połączyć setki punktów danych w przedsiębiorstwie – nie tylko logi bezpieczeństwa, ale dowolne logi. Nawet fizyczne logi bezpieczeństwa można podłączyć do Open.XDRMożna to skorelować, jeśli uda się to przenieść do jeziora danych. Wszystko odbywa się w jednym otwartymXDR Szklana tafla. Analitycy trenują maszynę pod kątem wzorców życia przez około pierwszy miesiąc, aby upewnić się, że wzorce są dokładnie nauczone, zanim sztuczna inteligencja pomoże w normalizacji operacji.
XDR nie zmniejszy liczby dostawców.
XDR umożliwi rozszerzenie pola gry dla dowolnej liczby dostawców, z którymi chcesz się połączyć, a wszyscy będą najlepsi w swojej klasie, wykonując szczegółowe analizy i automatyzując reakcje.
